2024 年 8 月 14 日,Nginx 正式發布了穩定版本 nginx-1.26.2 和主線版本 nginx-1.27.1。本次更新重點修復了 ngx_http_mp4_module 模組中的一個中等級別緩衝區過度讀取漏洞(CVE-2024-7347)。
此漏洞可能允許攻擊者透過精心設計的 MP4 檔案,過度讀取 Nginx 工作進程的記憶體,導致其異常終止。這個問題僅影響到那些在構建時包含了 ngx_http_mp4_module 並在設定檔中使用了 mp4 指令的 Nginx 實例。此外,只有當攻擊者能觸發該模組處理特殊設計的 MP4 檔案時,才可能發動攻擊。
官方強烈建議用戶立即升級至最新版本,以避免潛在的安全風險。這次修補對象包括 NGINX Open Source 和 NGINX Plus,提醒未達技術支援終止的軟體版本仍可獲得此更新。
該漏洞的披露引起了業界對媒體文件處理模組安全性的高度重視,並再次強調了定期更新和維護網路伺服器軟體的重要性。